Watch-List : la pratique de la FINMA désavouée par le TF

Dans le cadre de la surveillance des marchés financiers, la FINMA collecte des données sensibles. L’impact que la collecte de ces données et leur éventuelle divulgation peuvent avoir pour les personnes concernées impose l’existence d’une base légale garantissant un niveau suffisant de protection de la personnalité. Dans son arrêt 1C_214/2016 du 22 mars 2017, le Tribunal fédéral (TF) examine les conditions auxquelles des données sensibles peuvent être collectées. Il déjuge l’instance précédente et constate que les données collectées par la FINMA en l’espèce ne remplissent pas les conditions posées pour la collecte de données sensibles.

Faits

[Rz 1] Suite au scandale des manipulations des taux d’intérêts interbancaires, en particulier du LIBOR, la FINMA a ouvert une procédure administrative contre la banque UBS. Dans ce cadre, elle a constaté des manquements graves à la réglementation sur les marchés financiers. Forte de ce constat, la FINMA a alors ordonné la prise de mesures par la banque pour l’amélioration des processus internes destinés à prévenir ce type de manquement ainsi que la confiscation des gains acquis en violation de la réglementation applicable. Le recourant était cadre au sein de la banque UBS au moment des faits. Après avoir demandé à la FINMA de lui communiquer les données qu’elle détenait à son sujet, celui-ci s’est aperçu qu’il faisait l’objet d’une inscription dans la Watch-list tenue par cette dernière. Nonobstant la demande du recourant, la FINMA a refusé de radier cette inscription de la liste. Après avoir requis et obtenu une décision formelle de la FINMA, le recourant a porté l’affaire jusque devant le TF, arguant principalement que son inscription dans la Watch-list et la collecte de données y afférente ne reposait sur aucune base légale suffisante.

Considérants

[Rz 2] Fondant son raisonnement principalement sur les dispositions applicables en matière de protection des données, le TF procède à une analyse de la collecte de données diligentée par la FINMA au regard de la Constitution fédérale de la Confédération suisse (Cst. ; RS 101 ), en particulier de ses articles 13 et 36 en relation avec l’article 164 de la loi sur la protection des données (LPD ; RS 235.1) (laquelle concrétise l’article 13 al. 2 Cst.), de la loi sur l’autorité fédérale de surveillance des marchés financiers, et plus spécifiquement son article 23 ainsi que de l’ordonnance de la FINMA sur les données.

[Rz 3] Si le TF ne trouve rien à redire au fait que la Watch-list peut effectivement être considérée comme une collecte de données interne, avis partagé par la doctrine (ZULAUF/WYSS/TANNER/KÄHR/FRITSCHE/EYMANN/AMMANN, Finanzmarkt-enforcement, 2ème éd., 2014, p. 81), il a toutefois considéré que la collecte de données par la FINMA doit respecter un certain nombre de règles en raison de la sensibilité des données collectées et de l’éventuelle remise en question de la garantie d’activité irréprochable de l’individu concerné qu’elles peuvent occasionner.

[Rz 4] Après un examen des lois sur les marchés financiers, dont la plupart prévoient que les organes des intermédiaires financiers doivent présenter la garantie d’une activité irréprochable (« Gewähr »), et de l’article 23 de la loi sur la surveillance des marchés financiers (LFINMA ; RS 956.1), le TF constate que la Watch-list n’est pas expressément mentionnée dans ces textes. Toutefois, en dépit de l’absence de cette mention, il arrive à la conclusion que son existence découle de la nature même de la collecte de données permise en vertu de l’art. 23 LFINMA. Ainsi, notre Haute Cour considère que l’existence de la Watch-list trouve son fondement juridique dans cette base légale. Fort de ce constat, notre Haute Cour examine dès lors si les données collectées par la FINMA au sujet du recourant sont conformes à l’article 3 de l’ordonnance de la FINMA sur les données (RS 956.124). Cet article contient une liste exhaustive des données pouvant être collectées. En dehors des catégories listées, soit les indications permettant l’identification de la personne et de décrire ses activités professionnelles, ainsi que les indications concernant les éléments susceptibles de remettre en question sa garantie d’activité irréprochable (procédures clôturées ou sources fiables et dignes de foi), aucune donnée ne peut être collectée. Dans le cas d’espèce, la FINMA a collecté différents éléments permettant de douter de la garantie d’activité irréprochable du recourant, sans qu’une procédure ne soit formellement ouverte à l’encontre de ce dernier, le privant des garanties de procédure. Or, ces éléments n’ont pas été collectés dans le cadre de procédures auxquelles le recourant aurait été partie et ne découlent pas de sources suffisamment fiables ou dignes de foi.

[Rz 5] Au vu de ces considérations, le TF conclut que les données collectées par la FINMA, sous réserve des données permettant l’identification du recourant, excèdent le cadre de l’art. 3 Ord.-FINMA sur les données et, partant ne reposent sur aucune base légale suffisante.

Commentaire

[Rz 6] Pour notre part, nous relevons que le grief de la violation de la liberté économique (art. 27 Cst.) n’est pas analysé par le TF. En effet, notre Haute Cour fonde son raisonnement sous l’angle de la protection des données uniquement laissant ainsi la question de l’éventuelle violation de cet article constitutionnel ouverte.

[Rz 7] Cela étant, nous ne pouvons que saluer l’interprétation faite par le TF des exigences auxquelles la FINMA est soumise pour la collecte et le traitement de données personnelles d’acteurs des marchés financiers. S’il est incontestable que la FINMA doit pouvoir collecter les données nécessaires à l’exercice de sa surveillance dans le but, notamment, de protéger les investisseurs, la personnalité des individus dont les données sont collectées doit impérativement être protégée conformément aux dispositions constitutionnelles et à la législation sur la protection des données. Ainsi, en constatant que les données collectées par la FINMA dans le cadre d’une procédure ouverte contre une tierce personne ne peuvent pas être conservées, ni utilisées, notre Haute Cour renforce la sécurité juridique aujourd’hui fragilisée dans les relations entretenues par le justiciable avec les autorités administratives. Dorénavant, grâce à cette décision, si la FINMA souhaite collecter et surtout conserver des données relatives à un individu, elle devra ouvrir une procédure administrative contre celui-ci. En conséquence, toute personne concernée sera légitimée à faire valoir ses droits vis-à-vis de la FINMA conformément aux règles de procédure applicables. Les employés des établissements soumis à la surveillance de la FINMA peuvent dès lors à nouveau dormir tranquilles : tant que la FINMA ne leur notifie pas un acte d’ouverture de procédure, celle-ci n’est plus légitimée à collecter des données les concernant. A l’époque de l’échange automatique d’informations et de la transparence accrue, il s’agit d’une excellente nouvelle.

Adrienne Salina / Leandro Lepori, Watch-List : la pratique de la FINMA désavouée par le TF, in : CJN, publié le 7 juin 2017